Нужен ли сторонний аудит безопасности?

1. Что такое отчет SOC?
2. Отчет SOC лучше сертификации ISO 27001?
3. Все дороги ведут к… Пониманию серии NIST SP 800
4. Управляйте рисками и развивайте свою программу безопасности

По мере появления сообщений об угрозах безопасности и нарушениях данных клиенты хотят получить дополнительную гарантию того, что организации можно доверять их конфиденциальную информацию. Поскольку предприятия стремятся соответствовать отраслевым стандартам и передовым практикам в области безопасности, соблюдение определенных стандартов может даже оказаться правовой или договорное требование для компании.

Проведение стороннего аудита демонстрирует приверженность вашей компании защите данных клиентов и их активов, а также заверение ваших клиентов и клиентов. Прочитав эту статью, вы лучше поймете общие стандарты безопасности и требования аудита. Если вам интересно, например, пройти ли аудит SOC 2 или ISO / IEC 27001: 2013 (или оба), эта статья может помочь вам принять решение.

Что такое отчет SOC?

поддержания Соответствие SOC 2 , которая должным образом соответствует критериям защиты, обслуживания и обработки данных о клиентах, является одной из наиболее эффективных вещей, которые организация может сделать сегодня, чтобы внушить доверие своим клиентам. Системный и организационный контроль ( SOC ) ревизии бывают разных вкусов и размеров. Согласно определению Американского института сертифицированных общественных бухгалтеров (AICPA), имеются отчеты SOC 1, SOC 2 и SOC 3 (каждый из которых может иметь версию типа I или типа II).

SOC 1 свидетельствует о финансовом контроле, SOC 2 - о нефинансовом контроле, а отчет SOC 3 аналогичен SOC 2, но удаляет детали аудита для публичного обмена. Как правило, отчет SOC 2 используется внутренне и должен быть известен (в соответствии с NDA), но SOC 3 предназначен для всех. Аудит типа I относится к проектированию (на определенный момент времени), а тип II охватывает операции (как элементы управления выполняются с течением времени).

Сначала организация должна провести аудит SOC 2 типа I, чтобы гарантировать, что контрольные проверки на эту дату достаточны для удовлетворения требований. Затем в ходе аудита SOC 2 типа II анализируется выборочная совокупность по указанным датам, чтобы показать работу элементов управления в соответствии с планом. Диапазон дат не должен уходить на год, и многие компании считают, что шестимесячного периода аудита достаточно. В некоторых случаях полезно также получить отчет SOC 3, который содержит (часто в форме письма) мнение аудитора об утверждении руководством своей позиции безопасности, не вдаваясь в подробные выводы аудита, как это делает отчет SOC 2.

Отчет SOC лучше сертификации ISO 27001?

ИСО - это глобальная сеть органов стандартизации, в которую входят члены практически из любой страны мира. Аудит ISO / IEC 27001: 2013 (неофициально именуемый ISO 27001) измеряет, соответствует ли Система управления информационной безопасностью (СУИБ) в определенный момент времени определенным передовым практикам ISO. Организация может получить сертификат ISO; однако, сертификация SOC не доступна, только аттестация.

До недавнего времени было не обязательно лучше получить SOC 2, чем аудит безопасности ISO 27001. Все чаще организации полагаются на соответствие SOC 2 золотому стандарту для демонстрации своей позиции безопасности. По моему мнению, любая сервисная организация, бережно относящаяся к своим ресурсам и заинтересованная в повышении доверия клиентов, должна в первую очередь использовать SOC 2. На самом деле, в зависимости от объема вашего аудита, отчет SOC 2 может быть достаточным для демонстрации соответствие другим стандартам и требованиям (например, стандарты безопасности ISO / IEC 27001: 2013, NIST SP 800-53, PCI-DSS и HIPAA).

Совет по стандартам аудита AICPA (ASB) предоставляет рекомендации для аудиторов в форме Заявлений о стандартах для аттестации (SSAE). Аудит SOC 1, используемый для приведения в соответствие с руководящими принципами SAS 70 (их часто называют аудитом SAS 70). SSAE 16 заменил SAS 70 в апреле 2010 года, но все еще был уникальным для аудитов SOC 1. Аудит SOC 2 оценивает организацию против пяти определенных Критерии трастовых услуг (TSC), включая безопасность, доступность, целостность, конфиденциальность и конфиденциальность. Теперь аудиты SOC 1 и SOC 2 соответствуют SSAE 18 , который заменяет SSAE 16 для любых отчетов SOC, выпущенных 1 мая 2017 года или после этой даты. Например, организациям, которые ранее обязывали соблюдать SAS 70, теперь потребуется отчет SOC 2.

Все дороги ведут к… Пониманию серии NIST SP 800

Национальный институт стандартов и технологий (NIST), основанный в 1901 году, выпускает специальные публикации для определения стандартов для организаций. Серия NIST SP 800 предоставляет руководство по контролю безопасности и конфиденциальности, которая по состоянию на август 2017 года была на пятой редакции NIST SP 800-53 ред. 5 , Сегодня стандарты безопасности NIST представляют лучшую мировую практику.

Согласно AICPA, обязательства SOC 2 и SOC 3 (опять-таки на основе SSAE 18) могут использоваться для составления отчетов о соответствие другим стандартам аналог TSC, а именно NIST SP 800-53. Американский национальный институт стандартов (ANSI) предоставляет многоотраслевые руководящие указания по стандартам, включая безопасность, и тесно сотрудничает с NIST. Итак, еще раз, SOC 2 TSC соответствует стандартам SSAE-18, которые соответствуют NIST SP 800-серии, в которой используются руководящие указания, определенные ANSI, который является группой-членом США по ISO. Проще говоря, поскольку SOC 2 TSC тесно связаны с несколькими популярными стандартами и структурами (включая ISO 27001), имеет смысл в первую очередь провести аудит SOC 2.

Управляйте рисками и развивайте свою программу безопасности

Современная бизнес-среда требует приверженности управлению кибер-рисками. Сторонние аудиты являются отличным инструментом для повышения доверия клиентов и обеспечения структуры, на которой строится программа безопасности. При исследовании того, какой аудит безопасности подходит для вашей организации, рассмотрите SOC 2 как хорошую отправную точку. Если существуют юридические или договорные требования или достаточный риск для оправдания расходов, вы можете добавить другие оценки.

Похожие

Комментарии